Regressor Опубликовано 15 сентября, 2011 · Жалоба Здравствуйте. Суть проблемы в следующем: имеется пара сотен свичей доступа. Практически все - DLink 3550/3526 (когда все это затевалось жутко экономили и видимо зря). На многих из этих коммутаторов реализована привязка port-ip. Т.е. на каждом рабочем месте разрешен только свой IP. Сделано это при помощи ACL по содержимому пакета. Вот примерно так: # Разрешить фреймы 0x0806 с исход. разрешенным ip на 3 порту (0x0806 - ARP) # cr access packet offset_16-31 0xFFFF0000 0x0 0x0 0x0 offset_32-47 0xFFFFFFFF 0x0 0x0 0x0 prof 6 # co access profile_id 6 add access_id auto packet offset_16-31 0x08060000 0x0 0x0 0x0 offset_32-47 0x0A0A0A0A 0x0 0x0 0x0 port 3 permit # # Разрешить фреймы 0x0800 с исход. разрешенным ip на 3 порту (0x0800 - IPv4) # cr access packet offset_16-31 0xFFFF0000 0x0 0x0 0x0000FFFF offset_32-47 0xFFFF0000 0x0 0x0 0x0 prof 7 # co access profile_id 7 add access_id auto packet offset_16-31 0x08000000 0x0 0x0 0x0A0A offset_32-47 0x0A0A0000 0x0 0x0 0x0 port 3 permit # # Запретить все остальные фреймы # create access packet offset_0-15 0x0 0x0 0x0 0x0 profile_id 8 # config access profile_id 8 add access_id auto packet offset_0-15 0x0 0x0 0x0 0x0 port 3 deny Правила генерируются автоматически скриптом из базы и заливаются так же автоматически на свичи. Для аплинков и роутеров правила не задаются. Но эти длинк железки при всех своих достоинствах имеют один громадный недостаток - они дохнут пачками постоянно. Сначала мы запарились менять на них блоки питания и перепаивать на них кондеры. Лежит штук пять резервных - их меняют уже с закрытыми глазами. Потом они начали дохнуть по второму кругу - кондеры стабилизатора на основной плате и полевики. Ремонтник наш их тоже уже с закрытыми глазами перепаивает. Теперь новая напасть - при загрузке высыпается в ошибку, пишет трейс в консоли и затихает. Таких уже с десяток. Свичи живут в нормальных условиях - температура, влажность в порядке. Кстати у нас до сих пор работает пара DES-3624 и ничего им не делается - делали же блин раньше. Поскольку с бюджетом щас гораздо лучше я пошел смотреть циски. Вот только упомянутые выше фортеля с ACL они не умеют (или я неправ ?). Вопрос в следующем: какие L2 свичи доступа умеют acl по содержимому пакета и при этом достаточно надежны в работе ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
drakosha Опубликовано 15 сентября, 2011 · Жалоба на зюхели не смотрели? правда мы их в таком качестве не пользовали, но проблем с ними не испытываем, а длинк был всего 1 и тот на тестировании, сняли и вернули обратно после 2-х раз когда он наглушняк завис. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Gunner Опубликовано 15 сентября, 2011 (изменено) · Жалоба 3550 и 3526 наглухо вылизанные по софту свичи делают свою работу на ура.Заменить 3 кондера в БП дело минутное. Изменено 15 сентября, 2011 пользователем Gunner Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 15 сентября, 2011 · Жалоба Gunner, у автора целых 200 штук этих свичей, и видать 2 свича в день это слишком большая нагрузка для мозга и рук. И походу дела возить свичи в сервис раз в неделю это тоже слишком трудно. Просто отстаньте от человека, пусть купит зуксель, получит новую, свежую, неизученную ранее порнуху. Он забудет, что такое длинк. Этого ему на годик хватит. Потом edge-core предложим... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Negator Опубликовано 15 сентября, 2011 · Жалоба Может с питанием что не так? У нас >800 таких железок. И меняем после перепайки не так уж и часто, ну может раз в неделю меняем 1 свич. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
woddy Опубликовано 15 сентября, 2011 · Жалоба да, проблема у автора топика явно. у нас 5тыс железок (3526/3550/3028/3052/3552/3200) в сети и проблем особых нет. может статика/грозы? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xcme Опубликовано 15 сентября, 2011 · Жалоба Поскольку с бюджетом щас гораздо лучше я пошел смотреть циски. Безупречность кошек - такой же миф, как и глючность длинков. У определенной партии 3526 действительно есть проблемы с БП, но народ с этим успешно борется. И, как совершенно правильно заметили выше, пара сотен свичей - это совсем немного. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
M-a-x-Z Опубликовано 16 сентября, 2011 · Жалоба Поскольку с бюджетом щас гораздо лучше я пошел смотреть циски. Вот только упомянутые выше фортеля с ACL они не умеют (или я неправ ?). Вопрос в следующем: какие L2 свичи доступа умеют acl по содержимому пакета и при этом достаточно надежны в работе ? Как это не умеют? Даже самая примитивная линейка 2960 поддерживает простые ACL. Вот только не уверен - версия lan lite или lan base. Но одна из них - точно умеет фильтровать по источнику. Загрузку правил скриптом лего осуществлять по ssh: к каждому порту привязываешь ACL с номером порта, а потом скриптом эти ACL меняешь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Regressor Опубликовано 16 сентября, 2011 (изменено) · Жалоба 3550 и 3526 наглухо вылизанные по софту свичи делают свою работу на ура.Заменить 3 кондера в БП дело минутное. Требования к бесперебойности работы довольно высокие, каждый такой случай отсутствия связи больше часа это серьезные проблемы с начальством. Свичи на замену вдруг резко кончились по причине массового падежа без возможности восстановления. Покупка новых в госорганизации с конкурсом занимает дикое количество времени. Блоки питания практически на всех этих железках перепаяны и заменены (меняют на месте). Если бы вы внимательно читали мое сообщение, вы бы заметили, что дело уже не в 3 конденсаторах блока питания. Тут уже дохнут в массовом порядке стабилизаторы на мат.плате (опухают кондеры и следом за ними летят ключи и собственно сам стабилизатор). Это все заменить и перепаять уже не минутное дело (при наличии запчастей конечно). Но с этим тоже справлялись до поры до времени пока не началась новая напасть - свитч при запуске ругается на ошибку инициализации bcm: _bcm_sdk_init() Number 5 CP0 REGISTERS: BadVAddr: 0x00000000 Status: 0x00000000 Cause: 0x00000000 EPC: 0x00000000 PRID: 0x00000000 REGISTERS: r0: 0x00000000 r1: 0x00000000 r2: 0x00000000 r3: 0x00000000 r4: 0x00000000 r5: 0x00000000 r6: 0x00000000 r7: 0x00000000 r8: 0x00000000 r9: 0x00000000 r10: 0x00000000 r11: 0x00000000 r12: 0x00000000 r13: 0x00000000 r14: 0x00000000 r15: 0x00000000 r16: 0x00000000 r17: 0x00000000 r18: 0x00000000 r19: 0x00000000 r20: 0x00000000 r21: 0x00000000 r22: 0x00000000 r23: 0x00000000 r24: 0x00000000 r25: 0x00000000 r26: 0x00000000 r27: 0x00000000 r28(gp): 0x00000000 r29(sp): 0x00000000 r30(fp): 0x00000000 r31(ra): 0x00000000 !! System in EXCEPTION MODE !!! PAUSE System Exception: Pause source code : 5 Current Task: STARTUP Current Stack Pointer : 8170ACB0 Перепрошивка не помогает. Проблема судя по тенденции будет массовой. Решению не поддается. Неживые судя по трейсу bcm5646 купить и перекатать не представляется возможным (Или может кто знает место где их купить можно ?). Поскольку свичи эти уже раза по 3 чинились нашим сервисником - в сервисе длинка нас пошлют, либо ремонт будет стоить как новый свитч. Покупать новые той же фирмы как-то желание отпало. Совсем... Или кто-то считает всего вышеперечисленного для этого недостаточно ? Цисок кстати в сетке имеется где-то пару десятков. Не дохли НИ РАЗУ (это к вопросу о мифах). Самой старой лет 5. Имеются также экстримы 3 уровня - проблема только с одним была (выгорели оба гигабитных порта). Про глюки БП _определенной партии_ сказки можете рассказывать в другом месте - у нас проблемы одинаковые как с 3526 так и с 3550. Причем как на старых с коричневыми мордами, так и на новых с серебристыми. На них на всех БП одинаковые. Мы сдохший БП уже за проблему не считаем - тупо меняется на запасной на месте. Электросеть - как у всех (скачет и прыгает). P.S. Я так и предполагал, что тут же налетят любители DLink и закидают меня какашками. Неужели нельзя либо промолчать либо ответить по сути вопроса ? Нет альтернативы - значит будем дальше жевать кактус :( Может новый (DES-3552) окажется не таким колючим. P.P.S. Написал ответ и увидел последнее сообщение. Я возможно невнимательно читал доки к циске. Не подскажете синтаксис команды на 2960, с помощью которой можно разрешить рабочей станции, подключенной к порту на этой циске отсылать ethernet фрейм 0x806 (arp) только с определенным ip-полем отправителя (политика "все запрещено", разрешено только то, что можно)? P.P.P.S. По софту если что меня длинки устраивают на 110%. Тем более, что разработчики на критику и предложения довольно живо реагируют. Нашел я в коде бэкдор пароли - отослал гневное письмо разработчикам - убрали (и довольно шустро). Пожаловался на то, что свитч на вебморде пишет свою модель и что это небезопасно - убрали. Попросил добавить настраиваемое приглашение в telnet - сделали. Правда возможность создавать несколько ip-интерфейсов (без маршрутизации) так и не добавили (фича уже есть в коде, надо только 1 бит подправить). А вот железо... :((( Эх... Изменено 16 сентября, 2011 пользователем Regressor Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Makariy Опубликовано 16 сентября, 2011 · Жалоба а сколько лет длинкам? у меня 2 года полет отличный 3526, счас ставим 3200-26 вполне устраивает Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Regressor Опубликовано 16 сентября, 2011 · Жалоба Нашим от 4 лет до года.... Равномерно по возрасту размазаны.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дятел Опубликовано 16 сентября, 2011 · Жалоба Суть проблемы в следующем: имеется пара сотен свичей доступа. если под свичами доступа понимаются офисные свичи в конторе, в которые воткнуты сотрудники, то переход на циску 2950/60 очень логичен. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 16 сентября, 2011 · Жалоба переход на циску 2950/60 очень логичен имеет смысл оперировать более свежим железом - me2400 например ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Negator Опубликовано 16 сентября, 2011 · Жалоба У нас с вашими проблемами свичей вроде не было замечено. Только БП, ну иногда редко выгорают по 1 порту. У всех остальных на форуме -тоже, хотя количество свичей много больше чем у Вас. Рас госорганизация -то и флаг в руки -там бюджеты должны быть на кошки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Regressor Опубликовано 16 сентября, 2011 · Жалоба me2400 Перечисление моделей это хорошо, вот только я в доках по циске нигде не нашел что она умеет по содержимому пакета фильтровать. Да хрен с ним с содержимым - пускай хотя бы обеспечила каким либо способом чтобы с порта пользовательского ничего кроме ip и arp с разрешенным IP не уходило. Чтобы к примеру arp-вирус жестоко обломался, пользователь не мог чужой адрес присвоить, ipx и прочие прелести резались и т.п. Обычный ACL умеет только ip протоколы резать. Конструкция mac acl поле исходящего ip не поддерживает только мак и ethertype. Не было бы этой проблемы - давно бы уже везде циску поставили. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 16 сентября, 2011 · Жалоба если дизайн сети позволяет - советую присмотреться к 3028, за 3 года работы у нас был только 1 случай выгорания по железу - ПоЕ воткнули в аплинк. DES-3200 не советую в виду неадекватности выгорания неиспользуемых портов на них с последующей петлёй на этих портах. 3528/3552 - хз, у нас работает 10 штук, проблем пока нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 16 сентября, 2011 · Жалоба Обычный ACL умеет только ip протоколы резать http://www.cisco.com/en/US/docs/switches/lan/catalyst2950/software/release/12.1_9_ea1/configuration/guide/swacl.html что мешает сделать например так: ip access-list ext 111 permit ip host 10.11.22.33 any - разрешит только ip протокол от хоста, все остальне вырежет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Regressor Опубликовано 16 сентября, 2011 (изменено) · Жалоба что мешает сделать например так: ip access-list ext 111 permit ip host 10.11.22.33 any - разрешит только ip протокол от хоста, все остальне вырежет. Тем не менее ARP пакеты с чужим IP будут ходить поскольку arp это не ip. ipx по идее тоже (не проверял) и первый же arp-вирус устроит в этом сегменте тотальный трындец. Изменено 16 сентября, 2011 пользователем Regressor Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Negator Опубликовано 16 сентября, 2011 · Жалоба первый же arp-вирус устроит в этом сегменте тотальный трындец. Не драматизируйте. Мы например ARP начали резать меньше года назад. До этого как то жили и проблем с арп вирусами я вообще ни одной не помню. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 16 сентября, 2011 · Жалоба http://shop.nag.ru/catalog/00001.Kommutatory/02392.Cisco/06084.WS-C3750-24TS-S и к нему: http://www.cisco.com/en/US/products/hw/switches/ps646/products_configuration_example09186a0080470c39.shtml Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дятел Опубликовано 16 сентября, 2011 · Жалоба чтобы с порта пользовательского ничего кроме ip и arp с разрешенным IP не уходило. VLAN-per-user ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alks Опубликовано 16 сентября, 2011 · Жалоба me2400 Перечисление моделей это хорошо, вот только я в доках по циске нигде не нашел что она умеет по содержимому пакета фильтровать. Да хрен с ним с содержимым - пускай хотя бы обеспечила каким либо способом чтобы с порта пользовательского ничего кроме ip и arp с разрешенным IP не уходило. Чтобы к примеру arp-вирус жестоко обломался, пользователь не мог чужой адрес присвоить, ipx и прочие прелести резались и т.п. Обычный ACL умеет только ip протоколы резать. Конструкция mac acl поле исходящего ip не поддерживает только мак и ethertype. Не было бы этой проблемы - давно бы уже везде циску поставили. посмотрите что умеет cisco me3400 в разрезе UNI портов - там вообще очень много чего режется по умолчанию + ip arp inspection limit rate - ограничите кол-во arp запрсов IP Source Guard - позволите клиенту выходить в сеть только с тем IP что дал ваш DHCP сервер и чтобы клиент не влепил себе МАС адрес шлюза повесьте mac acl (MAC extended access lists using source and destination MAC addresses and optional protocol type information ) что вам еще надо? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дятел Опубликовано 16 сентября, 2011 · Жалоба ну да, если это госконтора и наших с вами налогов не жалко - то 3400 на доступ...Вместо правильной организации сети.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Regressor Опубликовано 16 сентября, 2011 (изменено) · Жалоба посмотрите что умеет cisco me3400 в разрезе UNI портов - там вообще очень много чего режется по умолчанию + ip arp inspection limit rate - ограничите кол-во arp запрсов IP Source Guard - позволите клиенту выходить в сеть только с тем IP что дал ваш DHCP сервер и чтобы клиент не влепил себе МАС адрес шлюза повесьте mac acl (MAC extended access lists using source and destination MAC addresses and optional protocol type information ) что вам еще надо? Дак яж написал что именно надо. Надо очень простого - адреса статикой, vlan-per-user не подходит, арпы фильтровать, ip фильтровать. Мне как-то не улыбается уже имеющуюся неплохо работающую систему перекраивать под новое ограниченное железо. Я ищу железо, подходящее под мои требования. С эпидемиями арп-вируса сталкивались трижды. Пользователи в сегменте с больной машиной работать нормально не могли, пока ее не блокировали. Тогда я сел и написал скрипт, забивающий фильтры в свичи. Больше таких проблем не было. IP Source Guard вообще говоря блокирует только ip трафик. Кстати циска умеет резать всякие ipx-ы кроме фреймов 0x800 и 0x806 (mac acl). Ладно, я уже понял, что ничего похожего нету. Будем дальше грызть кактус... P.S. А правильная организация сети это при неслабом межпользовательском трафике гнать все вланами через маршрутизатор вместо того чтобы зарезать все на доступе ? Изменено 16 сентября, 2011 пользователем Regressor Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дятел Опубликовано 16 сентября, 2011 · Жалоба Так все ваши проблемы - от неправильной организации сети. И с костылями, которые вы используете, вы намаетесь при смене оборудования. Перевод сети на Л3 с vlan-per-user (со статикой) решает все перечисленные проблемы, после этого у вас к оборудованию доступа остается единственное требование - длительная бесперебойная работа, для уменьшения числе случаев ремонта. Всё остальное решается на уровне агрегации/терминации. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...